Uber는 해커에게 앱에서 버그를 찾기 위해 1 만 달러의 보상을 제공합니다

Uber는 공연 경제의 명백한 지지자입니다. 프리랜서를 사용하면 회사가 대중 교통 수단 중 하나가 될 수있었습니다. 그리고 오늘 Uber는 회사 보안 분야의 프리랜서에 대한 선호도를 높이고 있다고 발표했습니다.

Uber는 회사의 소프트웨어에서 가장 작은 버그조차 발견하여 프로젝트에서 화이트햇 해커에게 돈을 제공하는 "버그 현상금"프로그램을 공개했습니다. 그리고 흥분을 쌓기 위해 최대 10,000 달러의 눈길을 사로 잡는 지불금을 붙였습니다.

조셉 설리반 (Joe Sullivan) CTO는 성명서를 통해 "고도로 숙련되고 잘 훈련 된 보안 전문가들로 구성된 팀이라 할지라도 끊임없이 개선 할 방법을 찾아야한다"고 말했다. "이 버그 바운티 프로그램은 코드가 최대한 안전함을 보장합니다. 우리의 독특한 충성도 계획은 Uber와 관련하여 보안 공동체가 전문가가되도록 장려 할 것입니다."

이를 위해 Uber는 "보다 안전한 인터넷에 기여하는 우호적 인 해커에게 보람을 느끼는"HackerOne과 파트너 관계를 유지했습니다. HackerOne은 Tesla의 보안 팀 Chris Evans에서 Google의 보안 엔지니어 인 Kostya Kortchinsky에 이르는 자문위원을두고 있습니다.

Uber는 항공사가 "충성도 보상 프로그램의 첫 번째"프로그램을 통해 전단지를 보유하는 것처럼 해커를 유지하려고 시도하고 있습니다. 버그 범인 사냥꾼은 5 월 1 일부터 90 일 동안 Uber 인증 버그를 4 개 이상 발견했습니다. 다섯 번째 버그부터 Uber는 각각의 새로운 버그에 대해 추가로 10 %의 보너스를 지급합니다.

이 회사는 해커가 "보물지도"를 통해 문제의 근원을보다 신속하게 찾을 수 있도록 상당한 양의 투명성을 약속했습니다. 보물지도는 Uber 레이아웃을 나열하고 회사에 깊이 들어가기위한 다양한 팁을 제공하여 이름에 부합하려고 시도합니다 프로그래밍에 숨어있는 가장 미묘한 버그까지도 찾아 낼 수 있습니다.

보물지도는 회사의 돈을 현금으로 모으는 사람들에게 흥미로운 일일 수 있지만, 악의적 인 의도가있는 블랙 햇 해커에게는 흥미로운 일이 될 수 있습니다. 그러나 Uber는 대중에게 이미 공개되지 않은 정보를 포기하지 않고 모든 사람들이 더 쉽게 찾을 수 있도록 정보를 공개하고 있다고 주장합니다. 보물지도는 앱 자체 외에도 라이더, 개발자, 파트너, 비즈니스 및 볼트 페이지에서 무엇을 찾아야하는지 설명하고 알려줍니다. 마지막으로 은행 정보와 주민등록번호가 저장되어 있기 때문에 Uber가 작년에 비공개로 유지해야하는 민감한 정보가있을 수 있으므로 특히 눈을 뗄 수 있습니다.

작년 개인 버전의 프로그램에서 200 명 이상의 보안 연구원이 거의 100 개의 버그를 발견했습니다.

Uber가 대중으로부터 성공의 유형을보고 (해커가 보물지도를 의도 한 목적 이상으로 사용하지 않기로 결정한 경우), 더 이상 당황스러운 보안 문제를 피할 수 있습니다.

해커가 공개하는 버그에 대해 계속 알려 드리겠습니다.

수정 (3/29/16):이 기사의 원래 버전에서 HackerOne은 실제로 비영리 법인 이었지만 실제로는 비영리 회사였습니다. 그 기사를 반영하도록 편집되었습니다.